Sie sind zurzeit offline. Es wird auf die erneute Herstellung einer Internetverbindung gewartet.

MS11-051: Sicherheitsrisiko in Webregistrierung für Active Directory-Zertifikatdienste kann Rechteerweiterungen ermöglichen: 14. Juni 2011

Der Support für Windows Server 2003 ist am 14. Juli 2015 abgelaufen.

Microsoft beendete den Support für Windows Server 2003 am 14. Juli 2015. Diese Änderung wirkt sich auf Ihre Softwareupdates und Sicherheitsoptionen aus. Erfahren Sie, was das für Sie bedeutet und wie Sie Ihren Schutz aufrechterhalten können.

EINFÜHRUNG
Microsoft hat das Sicherheitsbulletin MS11-051 veröffentlicht. Das vollständige Sicherheitsbulletin finden Sie auf den folgenden Microsoft-Websites:

Hilfe und Support zum Sicherheitsupdate

Privatanwender in den USA und Kanada erhalten kostenlosen Support über die Hotline-Nummer 1-866-PCSAFETY oder über die örtliche Microsoft-Niederlassung. Weitere Informationen zur Kontaktaufnahme mit der zuständigen Microsoft-Niederlassung bei Problemen mit Sicherheitsupdates finden Sie auf der internationalen Supportwebsite von Microsoft: Kunden in Nordamerika können über die folgende Website von Microsoft auch direkten Zugriff auf unbegrenzten kostenfreien E-Mail-Support oder unbegrenzten Einzelsupport per Chat erhalten: Unternehmenskunden können bei Problemen mit Sicherheitsupdates ihre üblichen Supportkontakte nutzen.
Weitere Informationen

Bekannte Probleme bei diesem Sicherheitsupdate

Nach der Installation dieses Sicherheitsupdates treten möglicherweise folgende Probleme auf:
  • Die Zeichen des Doppelbyte-Zeichensatzes (Double-Byte Character, DBCS) des Zertifikatnamens werden auf der Webseite "Status ausstehender Zertifikatanforderungen anzeigen" auf der Registrierungssite für eine Zertifizierungsstelle nicht ordnungsgemäß angezeigt.

    Gehen Sie folgendermaßen vor, um dieses Problem zu beheben:
    • Installieren Sie in Windows 2008 R2 den Hotfix 2637070. Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
      2637070 Die DBCS-Zeichen eines Zertifikatnamens werden nicht ordnungsgemäß angezeigt, wenn KB 2518295 auf Windows Server 2008 R2 installiert ist (Dies ist möglicherweise nur in Englisch verfügbar)
    • Auf Windows 2003- und Windows 2008-Plattformen müssen Sie die Datei "certckpn.asp" bearbeiten. Die Datei "certckpn.asp" befindet sich im folgenden Ordner:
      %systemroot%\System32\certsrv\<sprachspezifischer Ordner>\
      • Ändern Sie Folgendes:
        sFieldFriendlyType = Server.HTMLEncode(Replace(Replace(rgRequests(nIndex)(FIELD_FRIENDLYTYPE),"\","\\"),"'","\'"))
        In Folgendes:
        sFieldFriendlyType = Replace(Replace(rgRequests(nIndex)(FIELD_FRIENDLYTYPE),"\","\\"),"'","\'")
      • Ändern Sie Folgendes:
        <%=Server.HTMLEncode(rgRequests(nIndex)(FIELD_FRIENDLYTYPE))%></Span>
        In Folgendes:
        <%=rgRequests(nIndex)(FIELD_FRIENDLYTYPE)%></Span>
      • Ändern Sie Folgendes:
        <%=Server.HTMLEncode(rgRequests(nIndex)(FIELD_FRIENDLYTYPE))%></A>
        In Folgendes:
        <%=rgRequests(nIndex)(FIELD_FRIENDLYTYPE)%></A>
  • Wenn Sie versuchen, ein Zertifikat anzufordern, kann eine Fehlermeldung etwa folgenden Inhalts angezeigt werden:

    Fehler beim Verarbeiten der URL auf dem Server. Wenden Sie sich an den Systemadministrator.


    Das Problem tritt auf, nachdem Sie die Anforderung unter Verwendung der ASP-Seiten für die Webregistrierung eingereicht haben, wenn Folgendes zutrifft:
    • In der Vorlage ist "Genehmigung von Zertifikatverwaltung der Zertifizierungsstelle" festgelegt.
    • Der Wert Puffer aktivieren ist in IIS auf Falsch gesetzt.
    • Die Rolle "Webregistrierung" ist aktiviert.
    Um dieses Problem zu beheben, müssen Sie die Datei "certrspn.asp" bearbeiten. Die Datei "certrspn.asp" befindet sich im folgenden Ordner:
    %systemroot%\System32\certsrv\<sprachspezifischer Ordner>\
    Nehmen Sie in einem Texteditor die folgenden Änderungen vor, und speichern Sie die Datei "certrspn.asp" anschließend:
    • Ändern Sie Folgendes:
      <!-- Windows-Sicherheitsupdate KB2518295 hat einige der ASP-Dateien der Webregistrierung der Zertifizierungsstelle ersetzt -->
      In Folgendes:
      <%' Windows-Sicherheitsupdate KB2518295 hat einige der ASP-Dateien der Webregistrierung der Zertifizierungsstelle ersetzt %>
    • Ändern Sie Folgendes:
      <!-- Den Sicherungspeicherort der vorherigen ASP-Dateien finden Sie unter http://www.support.microsoft.com/kb/2518295 -->
      In Folgendes:
      <%' Den Sicherungspeicherort der vorherigen ASP-Dateien finden Sie unter http://www.support.microsoft.com/kb/2518295 %>
  • Es besteht ein bekanntes Problem für Kunden mit benutzerdefinierten ASP-Seiten für die Webregistrierung. Bei der Aktivierung einer Zertifizierungsstellenrolle in Windows Server 2003, Windows Server 2008 oder Windows Server 2008 R2 werden ASP-Beispielseiten für die Webregistrierung im Zertifikatserverordner (unter %windir%\system32\Certsrv) gespeichert. Kunden haben diese Seiten möglicherweise bearbeitet und an ihre Bedürfnisse angepasst.

    Das in MS11-051 beschriebene Sicherheitsupdate behebt ein Cross-Site Scripting-Sicherheitsrisiko auf diesen Seiten. Durch Installation des Sicherheitsupdates werden die vorhandenen ASP-Seiten durch sichere Seiten ersetzt.

    Microsoft empfiehlt Kunden, vor der Installation des Sicherheitsupdates eine Sicherheitskopie der angepassten ASP-Seiten zu erstellen, um den möglichen Verlust von Daten zu verhindern. Nach der Installation des Sicherheitsupdates sollten die Anpassungen mit den sicheren ASP-Seiten zusammengeführt werden.

    Warnung: Wenn Sie die Korrektur dieses Sicherheitsrisikos unbeabsichtigt entfernen, werden Sie möglicherweise anfällig für Cross-Site Scripting-Angriffe. Wenn Sie diese Seiten ändern, kann Microsoft keine Garantie für die Sicherheit des Systems übernehmen.

    Wenn Kunden vor der Installation des Sicherheitsupdates keine Sicherheitskopie ihrer angepassten Seiten erstellen, werden die ursprünglichen Seiten automatisch von der Windows Update-Installationssoftware gesichert. Die Speicherorte der Sicherung variieren je nach Plattform, Architektur und Service Pack-Nummer. Den genauen Speicherort können Sie der folgenden Tabelle entnehmen.

    Warnung: Wenn Sie in einem dieser Verzeichnisse Dateien entfernen oder fehlerhaft ändern, kann dies zu schwerwiegenden Problemen führen und eine Neuinstallation des Betriebssystems erforderlich machen. Microsoft kann nicht garantieren, dass sich Probleme beheben lassen, die durch das Ändern oder Entfernen von Dateien aus diesen Bereichen des Betriebssystems entstehen.
    ProduktSpeicherort für Sicherungen angepasster Webregistrierungsseiten
    Windows Server 2008 R2%windir%/winsxs/Architektur_microsoft-windows-webenroll.resources_31bf3856ad364e35_Version_Sprach-SKU_Hash

    Wobei
    • Architektur für "x86" (bei einer x86-Architektur) oder "amd64" steht,
    • Version für "6.1.7600.16385" (endgültige Produktedition von Windows Server 2008 R2) bzw. "6.1.7601.17514" (Windows Server 2008 R2 SP1) steht,
    • die Sprach-SKU von Sprache zu Sprache variiert, z. B.: "en-us" für Englisch, "de-de" für Deutsch und "ja-jp" für Japanisch,
    • Hash der 48-Bit-Hash ist, der je nach Plattform, Architektur, Service Pack und Sprache variiert.
    Windows Server 2008%windir%/winsxs/Architektur_microsoft-windows-webenroll.resources_31bf3856ad364e35_Version_Sprach-SKU_Hash

    Wobei
    • Architektur für "x86" (bei einer x86-Architektur) oder "amd64" steht,
    • Version für "6.0.6001.18000" (wenn SP1 installiert ist) oder "6.0.6002.18005" (wenn "SP2" installiert ist) steht,
    • die Sprach-SKU von Sprache zu Sprache variiert, z. B.: "en-us" für Englisch, "de-de" für Deutsch und "ja-jp" für Japanisch,
    • Hash der 48-Bit-Hash ist, der je nach Plattform, Architektur, Service Pack und Sprache variiert.
    Windows Server 2003Versteckter Ordner %windir%/$NtUninstallKB2518295$
    Windows Server 2000Versteckter Ordner %windir%/$NtUninstallKB2518295$
    Windows NT4 ServerVersteckter Ordner %windir%/$NtUninstallKB2518295$
DATEIINFORMATIONEN
Eine Liste der in diesem Paketen bereitgestellter Dateien finden Sie unter folgendem Link:
update security_patch security_update security bug flaw vulnerability malicious attacker exploit registry unauthenticated buffer overrun overflow specially-formed scope specially-crafted denial of service DoS TSE
Hinweis Dies ist ein Artikel, der im Schnellverfahren direkt von der Microsoft-Supportorganisation erstellt wurde. Die hierin enthaltenen Informationen werden als Reaktion auf neue Probleme wie besehen bereitgestellt. Da dieser Artikel im Schnellverfahren erstellt wurde, kann er Tippfehler enthalten und zu einem späteren Zeitpunkt ohne vorherige Ankündigung überarbeitet werden. Weitere zu berücksichtigende Informationen finden Sie in den Nutzungsbedingungen.
Eigenschaften

Artikelnummer: 2518295 – Letzte Überarbeitung: 12/22/2011 09:44:00 – Revision: 3.0

Windows 7 Service Pack 1, Windows 7 Enterprise, Windows 7 Professional, Windows 7 Ultimate, Windows 7 Home Premium, Windows 7 Home Basic, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter, Windows Server 2008 Service Pack 2, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Web Server 2008, Microsoft Windows Server 2003 Service Pack 2

  • atdownload kbbug kbexpertiseinter kbfix kbsecbulletin kbsecurity kbsecvulnerability KB2518295
Feedback
e="display:none;" onerror="var m=document.createElement('meta');m.name='ms.dqp0';m.content='true';document.getElementsByTagName('head')[0].appendChild(m);" onload="var m=document.createElement('meta');m.name='ms.dqp0';m.content='false';document.getElementsByTagName('head')[0].appendChild(m);" src="http://c1.microsoft.com/c.gif?"> tml>